Светлана Газизова, Positive Technologies: Через 5–10 лет каждый разработчик будет использовать практики application security

Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies, автор блога AppSec Journey и лауреат премии «Киберпросвет», делится своим опытом и рассказывает, как внедрить процесс безопасной разработки с нуля и к чему готовиться AppSec-специалистам.

Cyber Media: Из чего состоит организационная часть работы AppSec-специалиста? С какими сложностями может столкнуться конкретный специалист и компания, которая начала внедрять DevSecOps?

Светлана Газизова: AppSec-специалисты работают на стыке IT и кибербезопасности, и на фоне растущего числа инцидентов ИБ их роль в российских компаниях становится все более значимой. Чаще всего отделы по безопасности веб-приложений превращаются в самостоятельные подразделения или входят в блок цифровой трансформации, то есть становятся неотъемлемой частью развития бизнеса.

Хороший AppSec-специалист обладает навыками классического IT-специалиста (разработчика, аналитика, архитектора) и специалиста по кибербезопасности. Он должен быть в курсе актуального законодательства, понимать современные киберугрозы, уметь выбирать и настраивать инструменты обеспечения безопасности приложений, а также решать широкий спектр задач, от организационных до сугубо технических. Нужно ли говорить, что таких людей мало на рынке? Мы стараемся помочь отрасли преодолеть эту проблему и проводим образовательные курсы по DevSecOps, где делимся многолетней экспертизой Positive Technologies. В этом году мы уже обучили вопросам управления AppSec более 30 руководителей.

Если говорить о сложностях, с которыми может столкнуться AppSec-специалист, то выделю три основных проблемы: нехватка компетенций, недостаток бюджета и нежелание компании выделять ресурсы на безопасную разработку.

Основная сложность с безопасной разработкой на уровне компаний — отсутствие стратегии внедрения DevSecOps. Без нее невозможно определить цели, выстроить процессы, подготовить план действий, избежать проблем с отсутствием специалистов, недостатком обучения и избыточными затратами. Помочь с этим могут методологии и фреймворки внедрения процессов безопасной разработки — их в нашей отрасли немало. Однако все они, как правило, основаны на зарубежном опыте, который малоприменим в российских реалиях. Чтобы и отечественным компаниям было на что опереться, мы в Positive Technologies создали собственную общедоступную методологию — AppSec Table Top. Она помогает определить, какие практические шаги нужно сделать, чтобы повысить защищенность создаваемых веб-приложений с учетом требований регуляторов, интересов сотрудников и бизнеса.

Cyber Media: Оцените, насколько сегодня в российских компаниях развиты процессы и уровень зрелости DevSecOps? Чего, на ваш взгляд, не хватает отрасли для развития?

Светлана Газизова: Уровень зрелости DevSecOps в российских компаниях заметно вырос, хотя еще не так давно было распространено мнение, что безопасность — это не обязательно. Сейчас все больше компаний с собственной разработкой понимают, что в текущих условиях, когда киберинциденты случаются регулярно и со всеми, обязательным критерием качества кода становится его безопасность — минимальное количество уязвимостей, которые может эксплуатировать злоумышленник.

В отрасли появляется понимание, что программное обеспечение, которое используется миллионами людей, должно проходить строгие проверки безопасности на каждом этапе его создания. Это важный шаг, который может привести к значительной трансформации в отрасли через 5–10 лет. Уверена, в будущем практики application security станут неотъемлемой частью работы каждого программиста. Уже сейчас есть немало инструментов, в том числе бесплатных, которые позволяют повысить качество кода с точки зрения его безопасности. Например, в 2022 году мы выложили в открытый доступ плагины для IDE, которые помогают находить уязвимости, недокументированные функции и секреты в коде по мере его написания. Еще один доступный инструмент Positive Technologies — DAST-анализатор PT BlackBox. Он выполняет более 110 видов проверок на уязвимости в коде веб-ресурсов и по итогам сканирования формирует отчет, который можно скачать.

Тем не менее, несмотря на большое количество материалов и ресурсов, посвященных DevSecOps, спрос на специалистов в этой области значительно превышает предложение. В итоге отрасль DevSecOps в России находится в стадии развития, но есть все шансы, что она станет ключевой для безопасности цифрового мира в будущем.

Cyber Media: Если говорить о технической составляющей, насколько можно положиться на автоматизированные тесты и часто ли, исходя из вашего опыта, приходится работать «руками»?

Светлана Газизова: Автоматизированные тесты — основа DevSecOps. Ведь DevSecOps — это методология, которая направлена на сокращение ручного труда и внедрение автоматизации во все сферы разработки.

Однако уйти от ручной работы полностью невозможно. Любой инструмент, который мы используем в процессе DevSecOps, требует дополнительной настройки. Мы должны писать дополнительные правила, чтобы анализатор выдавал качественные результаты и позволял разработчикам меньше работать руками. Кроме того, существуют уязвимости, которые трудно обнаружить с помощью автоматизированных тестов. Это могут быть проблемы с бизнес-логикой, которые требуют внимательного анализа и понимания контекста. В таких случаях необходим специалист, который может провести дополнительное исследование и предложить решение.

Таким образом, автоматизированные тесты — это мощный инструмент, но они не могут полностью заменить ручную работу. DevSecOps — это комплексный подход, который требует и автоматизации, и внимательного анализа со стороны специалистов.

Cyber Media: С какими сложностями или вызовами сталкиваются зрелые с точки зрения ИБ компании, в которых процессы безопасной разработки уже достаточно развиты и внедрены давно?

Светлана Газизова: Зрелые компании, которые внедряли DevSecOps много лет назад, сейчас сталкиваются с трудностями, нетипичными для новичков. Одна из ключевых проблем — это негибкость устоявшихся процессов. То, что работало 5 лет назад, сегодня может быть неактуальным. Рынок изменяется, появляются новые угрозы, меняются технологии. Так вот, компании, которые уже давно построили у себя DevSecOps, вынуждены пересобирать процессы и внедрять новые инструменты. Это настоящий вызов: всегда проще создавать что-то с нуля, чем трансформировать то, что уже давно сделано и работает.

Cyber Media: С какими интересными кейсами в контексте деятельности AppSec/DevSecOps-специалиста вы сталкивались в своей практике?

Светлана Газизова: Я всегда вспоминаю историю компании, которая приобрела дорогой сканер безопасности (не наш), но так и не смогла настроить его: ребята из разработки даже не знали, куда он отправляет результаты сканирования. Это наглядный пример того, почему необходимо вкладывать ресурсы во внедрение DevSecOps и обучение специалистов.

Другой случай, о котором хочется рассказать, связан с удивительной вовлеченностью программистов в процесс безопасной разработки. Речь про одну технологичную ИТ-компанию со штатом разработчиков 500–700 человек, где по инициативе самих сотрудников появилось внутреннее комьюнити по безопасности. Там специалисты открыто решали проблемы и делились опытом. Конечно, их кураторами были эксперты по кибербезопасности, но сами разработчики брали на себя ответственность за безопасность своих проектов. Такой подход стал бустом для внедрения AppSec-практик и позволил построить эффективный DevSecOps в сжатые сроки.

Cyber Media: Внедрение безопасной разработки начинается с инвестиций. Как техническому отделу донести необходимость выделения денег, иногда весьма значительных, на внедрение SSDLC (secure software development life cycle)?

Светлана Газизова: Донести необходимость инвестиций в SSDLC — задача не из простых. Однако есть несколько аспектов, которые могут убедить руководство в важности этих вложений.

1. Экономическое обоснование. Важно показать, что инвестиции в SSDLC окупятся. Можно посчитать экономию ресурсов (как человеческих, так и финансовых), которую принесет внедрение безопасной разработки. Пример: правильно настроенный сканер безопасности позволит выявлять уязвимости на ранних этапах разработки, что сократит время и стоимость исправления ошибок на поздних стадиях.
2. Преимущества SSDLC. Безопасная разработка повышает качество продукта, минимизирует риски кибератак. Создаваемое ИТ-решение становится более конкурентоспособным, растет доверие к нему со стороны пользователей.
3. Демонстрация ценности. Важно показать техническому отделу, как SSDLC может помочь и другим подразделениям компании. Например, сокращение числа инцидентов безопасности снизит нагрузку на операционный отдел. Экономия ресурсов увеличит прибыль компании, а повышение уровня безопасности улучшит работу IT-отдела и создаст более комфортные условия для работы сотрудников.

Нужно понимать и донести до руководства и ответственных лиц, что инвестиции в SSDLC — это инвестиции в будущее компании.